この章

A P P E N D I X
C
許可および認証用の外部サーバの設定
この付録では、ASA で AAA をサポートするための外部 LDAP、RADIUS、または TACACS+ サーバ
の設定方法について説明します。外部サーバを使用するように ASA を設定する前に、正しい ASA 認証
属性でサーバを設定し、それらの属性のサブセットから個々のユーザに対する個別の許可を割り当てる
必要があります。
この付録では、次の項目について説明します。
• 「権限および属性のポリシー実施の概要」（P.C-1）
• 「外部 LDAP サーバの設定」（P.C-2）
• 「外部 RADIUS サーバの設定」（P.C-27）
• 「外部 TACACS+ サーバの設定」（P.C-39）
権限および属性のポリシー実施の概要
ASA は、ユーザ許可属性（ユーザ権利またはユーザ権限とも呼ばれる）を VPN 接続に適用するための
いくつかの方法をサポートしています。ユーザ属性を、ASA のダイナミックアクセスポリシー
（DAP）から、外部認証サーバや許可 AAA サーバ（RADIUS または LDAP）から、ASA のグループ
ポリシーから、またはこれら 3 つのすべてから取得できるように ASA を設定できます。
ASA がすべてのソースから属性を受信すると、それらの属性は評価および集約され、ユーザポリシー
に適用されます。DAP、AAA サーバ、またはグループポリシーから取得した属性の間で衝突がある場
合、DAP から取得した属性が常に優先されます。
ASA は、次の順序で属性を適用します（図 C-1 を参照）。
1. ASA の DAP 属性：バージョン 8.0(2) に導入され、これらの属性が最も優先されます。DAP に
ブックマークまたは URL リストを設定した場合、そのリストはグループポリシーに設定された
ブックマークまたは URL リストよりも優先されます。
2. AAA サーバのユーザ属性：ユーザ認証または許可が成功すると、AAA サーバはこれらの属性を
返します。これらの属性を、ASA のローカル AAA データベースの個々のユーザに設定されている
属性（ASDM のユーザアカウント）と混同しないでください。
3. ASA で設定されたグループポリシー：RADIUS サーバがユーザに対して RADIUS CLASS 属性
IETF-Class-25（OU=group-policy）の値を返す場合、ASA は、ユーザを同じ名前のグループポリ
シーに配置し、サーバから返されないそのグループポリシーのすべての属性を適用します。
LDAP サーバでは、任意の属性名を使用してセッションのグループポリシーを設定できます。
ASA で設定した LDAP 属性マップは、LDAP 属性を Cisco 属性 IETF-Radius-Class にマッピング
します。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-1
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
4. 接続プロファイル（CLI のトンネルグループと呼ばれる）で割り当てられたグループポリシー：
接続プロファイルには、接続の事前設定と、認証前にユーザに適用されるデフォルトのグループ
ポリシーが含まれています。ASA に接続するすべてのユーザは、最初にこのグループに所属しま
す。このグループでは、DAP で不足しているすべての属性、サーバから返されるユーザ属性、ま
たはユーザに割り当てられるグループポリシーが提供されます。
5. ASA で割り当てられたデフォルトのグループポリシー（DfltGrpPolicy）：システムのデフォルト
属性は、DAP、ユーザ属性、グループポリシー、または接続プロファイルで不足している値を提
供します。
図 C-1
ポリシー実施フロー
外部 LDAP サーバの設定
VPN 3000 コンセントレータと ASA/PIX 7.0 ソフトウェアでは、認証作業に Cisco LDAP スキーマが
必要でした。バージョン 7.1.x 以降では、ASA は、ネイティブ LDAP スキーマを使用して認証および
許可を行うため、Cisco スキーマは必要とされません。
許可（権限ポリシー）の設定は、LDAP 属性マップを使用して行います。例については、「Active
Directory/LDAP VPN リモートアクセス許可の例」（P.C-16）を参照してください。
この項では、LDAP サーバの構造、スキーマ、および属性について説明します。次の項目を取り上げ
ます。
• 「LDAP 操作のための ASA の構成」（P.C-3）
• 「ASA の LDAP コンフィギュレーションの定義」（P.C-5）
• 「Active Directory/LDAP VPN リモートアクセス許可の例」（P.C-16）
上記のプロセスは、使用する LDAP サーバのタイプによって異なります。
（注）
LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-2
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
LDAP 操作のための ASA の構成
この項では、LDAP 階層、および ASA の LDAP サーバへの認証済みバインディング内で検索する方法
について説明します。
• 「LDAP 階層の検索」（P.C-3）
• 「ASA と LDAP サーバのバインディング」（P.C-4）
LDAP コンフィギュレーションは、組織の論理階層が反映されたものにする必要があります。たとえ
ば、Example Corporation という企業の従業員 Employee1 を例に考えてみます。Employee1 はエンジ
ニアリンググループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができ
ます。Employee1 を Example Corporation のメンバと想定して、シングルレベルの階層をセットアッ
プすることを決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この
場合、Employee1 は Engineering 部門のメンバであると想定され、この部門は People と呼ばれる組織
ユニットのメンバであり、Example Corporation のメンバです。マルチレベルの階層の例については、
図 C-2 を参照してください。
マルチレベル階層はより細かく設定できますが、シングルレベル階層の方が、高速で検索結果が戻りま
す。
図 C-2
マルチレベルの LDAP 階層
ǨȳǿȸȗȩǤǺ LDAP ᨞‫ޖ‬
ȫȸȈ/ɥˮ
dc=ExampleCorp, dc=com
⿦⨨
࢚ࣥࢪࢽ࢔ࣜࣥࢢ
cn=࣮ࣘࢨ1
࣐࣮ࢣࢸ࢕ࣥࢢ
cn=࣮ࣘࢨ2
cn=࣮ࣘࢨ3
OU=ኵጢȦȋȃȈ
HR
cn=࣮ࣘࢨ4
ǰȫȸȗ/ᢿᧉ
ȦȸǶ
330368
࣓ࣥࣂ࣮
LDAP 階層の検索
ASA では、LDAP 階層内での検索を調整できます。ASA に次の 3 種類のフィールドを設定すると、
LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらの
フィールドを組み合わせて使用することにより、ユーザの権限が含まれている部分だけを検索するよう
に階層の検索を限定できます。
• LDAP Base DN は、サーバが ASA から許可要求を受信したときにユーザ情報の検索を開始する
LDAP 階層を定義します。
• Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりも
かなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツ
リー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索
の方が広範囲に検索できます。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-3
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
• Naming Attribute では、LDAP サーバのエントリを一意に識別する RDN を定義します。一般的な
名前属性には、cn（通常名）、sAMAccountName、および userPrincipalName を含めることができ
ます。
図 C-2 では、Example Corporation 用の LDAP 階層の例を示します。この階層が指定されると、複数
の方法で検索を定義できます。表 C-1 は、2 種類の検索のコンフィギュレーションの例を示します。
最初のコンフィギュレーションの例では、Employee1 が必要な LDAP 許可を得て自身の IPSec トンネ
ル接続を確立すると、ASA は LDAP サーバに検索要求を送信します。この要求では、サーバが
Employee1 を代行して Engineering グループの検索を実行することを指定します。この検索は短時間
でできます。
2 番目のコンフィギュレーションの例では、ASA は、Employee1 を代行してサーバが Example
Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。
表 C-1
検索コンフィギュレーションの例
No. LDAP Base DN
検索範囲
名前属性
1
group= Engineering,ou=People,dc=ExampleCorporation, dc=com
1 レベル
2
dc=ExampleCorporation,dc=com
サブツリー
cn=Employee1 検索が高速
cn=Employee1 検索に時間がかか
結果
る
ASA と LDAP サーバのバインディング
一部の LDAP サーバ（Microsoft Active Directory サーバなど）は、ASA に対し、他のあらゆる LDAP
操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求
します。ASA は、ユーザが検索する前に、ログイン認定者名（DN）とログインパスワードを使用し
て、LDAP サーバとの信頼関係（バインド）を築きます。Login DN は、管理者がバインディングに使
用する LDAP サーバのユーザレコードを表します。
バインディング時、ASA は、サーバに対する認証を Login DN とログインパスワードを使用して行い
ます。Microsoft Active Directory の読み取り専用操作（認証、許可、グループ検索など）を行うとき、
ASA では特権の低い Login DN でバインドできます。たとえば、Login DN には、AD の「Member
Of」の指定が Domain Users の一部であるユーザを指定することができます。VPN のパスワード管理
書き込み操作では、Login DN にはより高い特権が必要となり、AD の Account Operators グループの
一部を指定する必要があります。Microsoft Active Directory グループの検索（「MemberOf retrieval」
とも呼ばれる）ASA バージョン 8.0.4 に追加されました。
Login DN の例を次にします。次のエントリがあります。
cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com
読み取りと書き込み操作に対する特定の Login DN 要件については、LDAP アドミニストレータガイ
ドを参照してください。
ASA は次の機能をサポートします。
• 暗号化されていないパスワードを使用し、デフォルトポート 389 を使用する簡易 LDAP 認証。デ
フォルトのポートの代わりに他のポートも使用できます。
• デフォルトポート 636 を使用するセキュアな LDAP（LDAP-S）。デフォルトのポートの代わりに
他のポートも使用できます。
• Simple Authentication and Security Layer（SASL）MD5
• SASL Kerberos
ASA は匿名認証をサポートしていません。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-4
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
（注）
LDAP クライアントとして、ASA は、匿名のバインドまたは要求の送信をサポートしていません。
ASA の LDAP コンフィギュレーションの定義
この項では、LDAP AV-pair 属性の構文の定義方法について説明します。内容は次のとおりです。
• 「LDAP 許可でサポートされている Cisco 属性」（P.C-5）
• 「Cisco-AV-Pair 属性の構文」（P.C-13）
• 「Cisco-AV-Pair の ACL 例」（P.C-14）
（注）
ASA は、数値の ID ではなく属性名に基づいて LDAP 属性を使用します。一方、RADIUS 属性には、
名前ではなく数値の ID が使用されます。
許可では、権限または属性を使用するプロセスを参照します。認証サーバまたは許可サーバとして定義
されている LDAP サーバは、権限または属性が設定されている場合はこれらを使用します。
ソフトウェアバージョン 7.0 の LDAP 属性には、cVPN3000 プレフィックスが含まれています。ソフ
トウェアバージョン 7.1 以降では、このプレフィックスは削除されています。
LDAP 許可でサポートされている Cisco 属性
この項では、ASA 5500、VPN 3000 コンセントレータ、および PIX 500 シリーズの ASA で使用され
る属性の詳細なリスト（表 C-2 を参照）を示します。この表には、これらのデバイスを組み合わせた
ネットワーク構成に役立つ VPN 3000 コンセントレータおよび PIX 500 シリーズの ASA の属性サポー
ト情報が含まれています。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-5
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-2
LDAP 許可で ASA がサポートする Cisco 属性
属性名
VPN
3000
ASA PIX
構文 / タシングルまた
イプ
はマルチ値
有効な値
Access-Hours
Y
Y
Y
String
Allow-Network-Extension- Mode
Y
Y
Y
Boolean シングル
0 = ディセーブル
1 = イネーブル
Authenticated-User-Idle- Timeout
Y
Y
Y
Integer
シングル
1 ～ 35791394 分
Authorization-Required
Y
Integer
シングル
0 = しない
1 = する
Authorization-Type
Y
Integer
シングル
0 = なし
1 = RADIUS
2 = LDAP
Banner1
Y
Y
Y
String
シングル
クライアントレス SSL VPN、クラ
イアント SSL VPN、および IPSec
クライアントのバナー文字列。
Banner2
Y
Y
Y
String
シングル
クライアントレス SSL VPN、クラ
イアント SSL VPN、および IPSec
クライアントのバナー文字列。
Cisco-AV-Pair
Y
Y
Y
String
マルチ
次の形式のオクテット文字列：
シングル
time-range の名前
（Business-Hours など）
[Prefix] [Action] [Protocol]
[Source] [Source Wildcard Mask]
[Destination] [Destination
Wildcard Mask] [Established]
[Log] [Operator] [Port]
詳細については「Cisco-AV-Pair 属
性の構文」（P.C-13）を参照してく
ださい。
Cisco-IP-Phone-Bypass
Y
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
Cisco-LEAP-Bypass
Y
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
Client-Intercept-DHCPConfigure-Msg
Y
Y
Y
Boolean シングル
0 = ディセーブル
1 = イネーブル
Client-Type-Version-Limiting
Y
Y
Y
String
IPSec VPN クライアントのバー
シングル
ジョン番号を示す文字列
Confidence-Interval
Y
Y
Y
Integer
シングル
10 ～ 300 秒
DHCP-Network-Scope
Y
Y
Y
String
シングル
IP アドレス
DN-Field
Y
Y
Y
String
シングル
有効な値：UID、OU、O、CN、L、
SP、C、EA、T、N、GN、SN、I、
GENQ、DNQ、SER、
use-entire-name。
Firewall-ACL-In
Y
Y
String
シングル
アクセスリスト ID
Firewall-ACL-Out
Y
Y
String
シングル
アクセスリスト ID
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-6
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-2
LDAP 許可で ASA がサポートする Cisco 属性（続き）
属性名
VPN
3000
Group-Policy
ASA PIX
構文 / タシングルまた
イプ
はマルチ値
有効な値
Y
String
Y
シングル
リモートアクセス VPN セッション
のグループポリシーを設定します。
バージョン 8.2 以降では、
IETF-Radius-Class の代わりにこの
属性を使用します。次の 3 つの形式
のいずれかを使用できます。
• グループポリシー名
• OU= グループポリシー名
• OU= グループポリシー名 :
IE-Proxy-Bypass-Local
Boolean シングル
0= ディセーブル
1= イネーブル
IE-Proxy-Exception-List
String
DNS ドメインのリスト。エントリ
は改行文字シーケンス（\n）で区切
シングル
る必要があります。
IE-Proxy-Method
Y
Y
Y
Integer
シングル
IE-Proxy-Server
Y
Y
Y
Integer
シングル
IP アドレス
IETF-Radius-Class
Y
Y
Y
シングル
リモートアクセス VPN セッション
のグループポリシーを設定します。
バージョン 8.2 以降では、
Group-Policy 属性の使用をお勧め
します。次の 3 つの形式のいずれか
を使用できます。
1 = プロキシ設定を変更しない
2 = プロキシを使用しない
3 = 自動検出
4 = ASA 設定を使用する
• グループポリシー名
• OU= グループポリシー名
• OU= グループポリシー名 :
IETF-Radius-Filter-Id
Y
Y
Y
String
シングル
ASA で定義されたアクセスリスト
名。これらの設定は、VPN リモー
トアクセスクライアント、IPSec
クライアント、および SSL クライ
アントの設定に適用されます。
IETF-Radius-Framed-IP-Address
Y
Y
Y
String
シングル
IP アドレス。これらの設定は、
VPN リモートアクセスクライアン
ト、IPSec クライアント、および
SSL クライアントの設定に適用さ
れます。
IETF-Radius-Framed-IP-Netmask
Y
Y
Y
String
シングル
IP アドレスマスク。これらの設定
は、VPN リモートアクセスクライ
アント、IPSec クライアント、およ
び SSL クライアントの設定に適用
されます。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-7
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-2
LDAP 許可で ASA がサポートする Cisco 属性（続き）
属性名
VPN
3000
ASA PIX
構文 / タシングルまた
イプ
はマルチ値
有効な値
IETF-Radius-Idle-Timeout
Y
Y
Y
Integer
シングル
秒
IETF-Radius-Service-Type
Y
Y
Y
Integer
シングル
1 = Login
2 = Framed
5 = リモートアクセス
6 = Administrative
7 = NAS Prompt
IETF-Radius-Session-Timeout
Y
Y
Y
Integer
シングル
秒
IKE-Keep-Alives
Y
Y
Y
Boolean シングル
0 = ディセーブル
1 = イネーブル
IPsec-Allow-Passwd-Store
Y
Y
Y
Boolean シングル
IPsec-Authentication
Y
Y
Y
Integer
0 = ディセーブル
1 = イネーブル
0 = なし
1 = RADIUS
2 = LDAP（許可のみ）
3 = NT ドメイン
4 = SDI（RSA）
5 = 内部
6 = RADIUS での Expiry
7 = Kerberos または Active Directory
IPsec-Auth-On-Rekey
Y
Y
Y
Boolean シングル
0 = ディセーブル
1 = イネーブル
IPsec-Backup-Server-List
Y
Y
Y
String
シングル
サーバアドレス（スペース区切り）
IPsec-Backup-Servers
Y
Y
Y
String
シングル
1 = クライアントが設定したリスト
を使用する
2 = クライアントリストをディセー
ブルにして消去する
3 = バックアップサーバリストを使
用する
IPsec-Client-Firewall-Filter- Name
Y
String
シングル
クライアントにファイアウォール
ポリシーとして配信するフィルタの
名前を指定します。
IPsec-Client-Firewall-FilterOptional
Y
Y
Y
Integer
シングル
0 = 必須
1 = オプション
IPsec-Default-Domain
Y
Y
Y
String
シングル
Y
Y
String
シングル
String
Y
Y
Integer
シングル
1 = 必須
2 = ピア証明書でサポートされる場
IPsec-Extended-Auth-On-Rekey
IPsec-IKE-Peer-ID-Check
Y
シングル
クライアントに送信する 1 つのデ
フォルトドメイン名を指定します
（1 ～ 255 文字）。
合
3 = チェックしない
IPsec-IP-Compression
Y
Y
Y
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-8
Integer
シングル
0 = ディセーブル
1 = イネーブル
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-2
LDAP 許可で ASA がサポートする Cisco 属性（続き）
属性名
VPN
3000
ASA PIX
構文 / タシングルまた
イプ
はマルチ値
有効な値
IPsec-Mode-Config
Y
Y
Y
Boolean シングル
0 = ディセーブル
1 = イネーブル
IPsec-Over-UDP
Y
Y
Y
Boolean シングル
0 = ディセーブル
1 = イネーブル
IPsec-Over-UDP-Port
Y
Y
Y
Integer
シングル
4001 ～ 49151、デフォルトは
10000。
IPsec-Required-Client-Firewall-
Y
Y
Y
Integer
シングル
String
シングル
セキュリティアソシエーションの名
前
クライアントに送信するセカンダリ
ドメイン名のリストを指定します
（1 ～ 255 文字）。
機能
0 = なし
1 = リモート FW Are-You-There
（AYT）で定義されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー
IPsec-Sec-Association
Y
IPsec-Split-DNS-Names
Y
Y
Y
String
シングル
IPsec-Split-Tunneling-Policy
Y
Y
Y
Integer
シングル
0 = すべてをトンネリング
1 = スプリットトンネリング
2 = ローカル LAN を許可
IPsec-Split-Tunnel-List
Y
Y
Y
String
シングル
スプリットトンネルの包含リスト
を記述したネットワークまたはアク
セスリストの名前を指定します。
IPsec-Tunnel-Type
Y
Y
Y
Integer
シングル
1 = LAN-to-LAN
2 = リモートアクセス
IPsec-User-Group-Lock
Y
Boolean シングル
0 = ディセーブル
1 = イネーブル
L2TP-Encryption
Y
Integer
ビットマップ：
シングル
1 = 暗号化が必要
2 = 40 ビット
4 =128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化 / ステー
トレスが必要
L2TP-MPPC-Compression
Y
MS-Client-Subnet-Mask
Y
Y
PFS-Required
Y
Y
Port-Forwarding-Name
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
Y
String
シングル
IP アドレス
Y
Boolean シングル
0 = しない
1 = する
String
名前の文字列（「Corporate-Apps」
など）
シングル
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-9
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-2
LDAP 許可で ASA がサポートする Cisco 属性（続き）
属性名
VPN
3000
PPTP-Encryption
Y
ASA PIX
構文 / タシングルまた
イプ
はマルチ値
有効な値
Integer
シングル
ビットマップ：
1 = 暗号化が必要
2 =40 ビット
4 =128 ビット
8 = ステートレスが必要
例：
15 = 40/128 ビットで暗号化 / ステー
トレスが必要
PPTP-MPPC-Compression
Y
Primary-DNS
Y
Y
Primary-WINS
Y
Y
Integer
シングル
Y
String
シングル
0 = ディセーブル
1 = イネーブル
IP アドレス
Y
String
シングル
IP アドレス
Integer
シングル
ユーザ名の場合、0 ～ 15
Integer
シングル
1 = シスコ（Cisco Integrated Client
Privilege-Level
Required-ClientFirewall-Vendor-Code
Y
Y
Y
を使用）
Required-Client-FirewallDescription
Y
Y
Y
String
シングル
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコ（Cisco Intrusion
Prevention Security Agent を使用）
—
Required-Client-FirewallProduct-Code
Y
Y
Y
Integer
シングル
シスコ製品：
1 = Cisco Intrusion Prevention
Security Agent または Cisco
Integrated Client（CIC）
Zone Labs 製品：
1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity
NetworkICE 製品：
1 = BlackIce Defender/Agent
Sygate 製品：
1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent
Require-HW-Client-Auth
Y
Y
Y
Boolean シングル
0 = ディセーブル
1 = イネーブル
Require-Individual-User-Auth
Y
Y
Y
Integer
シングル
Secondary-DNS
Y
Y
Y
String
シングル
0 = ディセーブル
1 = イネーブル
IP アドレス
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-10
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-2
LDAP 許可で ASA がサポートする Cisco 属性（続き）
属性名
Secondary-WINS
VPN
3000
Y
ASA PIX
Y
Y
SEP-Card-Assignment
構文 / タシングルまた
イプ
はマルチ値
有効な値
String
シングル
IP アドレス
Integer
シングル
未使用
シングル
0 ～ 2147483647
Simultaneous-Logins
Y
Y
Y
Integer
Strip-Realm
Y
Y
Y
Boolean シングル
TACACS-Authtype
Y
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
—
TACACS-Privilege-Level
Y
Y
Y
Integer
シングル
—
Y
Y
String
シングル
トンネルグループの名前または
「none」
Y
Y
Integer
シングル
1 = PPTP
2 = L2TP
4 = IPSec（IKEv1）
8 = L2TP/IPSec
16 = WebVPN.
32 = SVC
64 = IPsec（IKEv2）
8 および 4 は相互排他値
（0 ～ 11、16 ～ 27、32 ～ 43、48 ～
59 は有効値）。
Tunnel-Group-Lock
Tunneling-Protocols
Y
Use-Client-Address
Y
Boolean シングル
0 = ディセーブル
1 = イネーブル
User-Auth-Server-Name
Y
String
シングル
IP アドレスまたはホスト名
User-Auth-Server-Port
Y
Integer
シングル
サーバプロトコルのポート番号
User-Auth-Server-Secret
Y
String
シングル
サーバのパスワード
Y
String
シングル
Webtype アクセスリスト名
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
WebVPN-ACL-Filters
WebVPN-Apply-ACL-Enable
Y
バージョン 8.0 以降では、この属性
は必要とされません。
WebVPN-Citrix-Support-Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
バージョン 8.0 以降では、この属性
は必要とされません。
WebVPN-Enable-functions
Integer
シングル
使用しない（廃止）
WebVPN-Exchange-ServerAddress
String
シングル
使用しない（廃止）
WebVPN-Exchange-ServerNETBIOS-Name
String
シングル
使用しない（廃止）
WebVPN-File-Access-Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
WebVPN-File-Server-BrowsingEnable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-11
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-2
LDAP 許可で ASA がサポートする Cisco 属性（続き）
VPN
3000
ASA PIX
構文 / タシングルまた
イプ
はマルチ値
有効な値
WebVPN-File-Server-Entry- Enable Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
WebVPN-Forwarded-Ports
Y
String
シングル
ポート転送リスト名
Y
String
シングル
URL（http://www.example.com な
属性名
WebVPN-Homepage
Y
ど）
WebVPN-Macro-SubstitutionValue1
Y
Y
String
シングル
例については、次の URL にある
『SSL VPN Deployment Guide』を参
照してください。
http://supportwiki.cisco.com/View
Wiki/index.php/Cisco_ASA_5500_
SSL_VPN_Deployment_Guide%2C
_Version_8.x
WebVPN-Macro-SubstitutionValue2
Y
Y
String
シングル
例については、次の URL にある
『SSL VPN Deployment Guide』を参
照してください。
http://supportwiki.cisco.com/View
Wiki/index.php/Cisco_ASA_5500_
SSL_VPN_Deployment_Guide%2C
_Version_8.x
WebVPN-Port-ForwardingAuto-Download-Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
WebVPN-Port-Forwarding- Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
WebVPN-Port-ForwardingExchange-Proxy-Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
WebVPN-Port-ForwardingHTTP-Proxy-Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
Y
String
シングル
SSO サーバの名前（1 ～ 31 文字）
シングル
0 = ディセーブル
n = デッドピア検出値（30 ～ 3600
WebVPN-Single-Sign-OnServer-Name
WebVPN-SVC-Client-DPD
Y
Y
Integer
WebVPN-SVC-Compression
Y
Y
Integer
シングル
0 = なし
1 = デフレート圧縮
WebVPN-SVC-Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
WebVPN-SVC-Gateway-DPD
Y
Y
Integer
シングル
0 = ディセーブル
n = デッドピア検出値（30 ～ 3600
WebVPN-SVC-Keepalive
Y
Y
Integer
秒）
秒）
シングル
0 = ディセーブル
n = キープアライブ値（15 ～ 600
秒）
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-12
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-2
LDAP 許可で ASA がサポートする Cisco 属性（続き）
属性名
VPN
3000
ASA PIX
構文 / タシングルまた
イプ
はマルチ値
有効な値
WebVPN-SVC-Keep-Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
WebVPN-SVC-Rekey-Method
Y
Y
Integer
シングル
0 = なし
1 = SSL
2 = 新規トンネル
3 = 任意（SSL に設定）
WebVPN-SVC-Rekey-Period
Y
Y
Integer
シングル
0 = ディセーブル
n = 分単位の再試行間隔
（4 ～ 10080 分）
WebVPN-SVC-Required-Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
WebVPN-URL-Entry-Enable
Y
Y
Integer
シングル
0 = ディセーブル
1 = イネーブル
Y
String
シングル
URL リスト名
WebVPN-URL-List
Cisco-AV-Pair 属性の構文
Cisco Attribute Value（AV）ペア（ID 番号 26/9/1）を使用して、（Cisco ACS のような）RADIUS
サーバから、または LDAP 属性マップ経由で LDAP サーバから、アクセスリストを適用できます。
Cisco-AV-Pair ルールの構文は次のとおりです。
[Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard
Mask] [Established] [Log] [Operator] [Port]
表 C-3 で構文のルールについて説明します。
表 C-3
AV-Pair 属性の構文ルール
フィールド
説明
Action
deny、permit など、ルールが一致した場合に実行するアクション。
Destination
パケットを受信するネットワークまたはホスト。P アドレス、ホスト名、
またはキーワード any で指定します。IP アドレスを使用する場合、続いて
Source Wildcard Mask を指定する必要があります。
Destination Wildcard
Mask
宛先アドレスに適用されるワイルドカードマスク。
Log
FILTER ログメッセージを生成します。重大度レベル 9 のイベントを生成
するには、このキーワードを使用する必要があります。
Operator
論理演算子：greater than、less than、equal to、not equal to。
Port
TCP または UDP ポートの番号（0 ～ 65535）。
Prefix
（例：ip:inacl#1=（標準アクセスリスト用）または
AV ペアの固有識別子。
webvpn:inacl#（クライアントレス SSL VPN アクセスリスト用））。この
フィールドは、フィルタが AV ペアとして送信された場合にだけ表示され
ます。
Protocol
IP プロトコルの番号または名前。0 ～ 255 の整数値、または icmp、igmp、
ip、tcp、udp のいずれかのキーワード。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-13
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-3
AV-Pair 属性の構文ルール（続き）
フィールド
説明
Source
パケットを送信するネットワークまたはホスト。P アドレス、ホスト名、
またはキーワード any で指定します。IP アドレスを使用する場合、続いて
Source Wildcard Mask を指定する必要があります。ASA がソースまたは
プロキシの役割を果たすため、このフィールドはクライアントレス SSL
VPN には適用されません。
Source Wildcard Mask
送信元アドレスに適用されるワイルドカードマスク。ASA がソースまた
はプロキシの役割を果たすため、このフィールドはクライアントレス SSL
VPN には適用されません。
Cisco-AV-Pair の ACL 例
表 C-4 に Cisco-AV-Pair の例を示し、その結果の許可または拒否のアクションについて説明します。
（注）
inacl# の各 ACL # は固有である必要があります。ただし、これらはシーケンシャル（たとえば、1、2、
3、4）である必要はありません。つまり、5、45、135 のように設定できます。
表 C-4
Cisco-AV-Pair の例とアクションの許可または拒否
Cisco-AV-Pair の例
アクションの許可または拒否
ip:inacl#1=deny ip 10.155.10.0 0.0.0.255
10.159.2.0 0.0.0.255 log
フルトンネル IPsec または SSL VPN クライアントを
使用した、2 つのホスト間の IP トラフィックを許可
します。
ip:inacl#2=permit TCP any host
10.160.0.1 eq 80 log
フルトンネル IPsec または SSL VPN クライアントの
みを使用した、すべてのホストからポート 80 の特定
のホストへの TCP トラフィックを許可します。
webvpn:inacl#1=permit url
http://www.example.com
webvpn:inacl#2=deny url smtp://server
webvpn:inacl#3=permit url
cifs://server/share
指定 URL へのクライアントレス SSL VPN トラ
フィックを許可し、特定サーバへの SMTP トラ
フィックを拒否し、指定サーバへのファイル共有ア
クセス（CIFS）を許可します。
webvpn:inacl#1=permit tcp 10.86.1.2 eq
2222 log
webvpn:inacl#2=deny tcp 10.86.1.2 eq
2323 log
非デフォルトポートの 2323 で Telnet アクセスを拒
否し、非デフォルトポートの 2222 で SSH アクセス
を許可します。そうしない場合は、その他のアプリ
ケーショントラフィックが、クライアントレス SSL
VPN でそれらのポートを使用して流れます。
webvpn:inacl#1=permit url
ssh://10.86.1.2
webvpn:inacl#35=permit tcp 10.86.1.5 eq
22 log
webvpn:inacl#48=deny url
telnet://10.86.1.2
webvpn:inacl#100=deny tcp 10.86.1.6 eq
23
デフォルトポート 22 へのクライアントレス SSL
VPN SSH アクセスを許可し、ポート 23 への Telnet
アクセスを拒否します。この例では、これらの ACL
で実施される Telnet または SSH Java プラグインを使
用していることを前提としています。
ACL でサポートされている URL タイプ
サーバのワイルドカード、またはポートが含まれる部分的な URL です。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-14
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
次の URL タイプがサポートされています。
すべての URL
https://
post://
ssh://
cifs://
ica://
rdp://
telnet://
citrix://
imap4://
rdp2://
vnc://
citrixs://
ftp://
smart-tunnel://
http://
pop3://
smtp://
（注）
この表に一覧表示した URL は、関連するプラグインがイネーブルに設定されているかどうか
により、CLI または ASDM のメニューに表示されます。
Cisco-AV-Pair（ACL）使用のガイドライン
• リモート IPSec トンネルおよび SSL VPN Client（SVC）トンネルにアクセスリストを適用するに
は、Cisco-AV-Pair エントリにプレフィックス ip:inacl# を追加して使用してください。
• SSL VPN クライアントレス（ブラウザモード）トンネルにアクセスリストを適用するには、
Cisco-AV-Pair エントリにプレフィックス webvpn:inacl# を追加して使用してください。
• Webtype ACL では ASA がソースとなるため、ソースを指定しないでください。
表 C-5 に、Cisco-AV-Pair 属性のトークンの一覧を示します。
表 C-5
ASA がサポートするトークン
トークン
構文のフィール
ド
説明
ip:inacl#Num=
該当なし（識別
子）
（Num は固有の整数）。AV ペアのアクセスコントロールリストをすべて開始し
ます。リモート IPSec トンネルと SSL VPN（SVC）トンネルにアクセスリスト
を適用します。
webvpn:inacl#Num=
該当なし（識別
子）
（Num は固有の整数）。クライアントレス SSL AV ペアのアクセスコントロール
リストをすべて開始します。クライアントレス（ブラウザモード）トンネルにア
クセスリストを適用します。
deny
Action
アクションを拒否します。（デフォルト）
permit
Action
アクションを許可します。
icmp
Protocol
インターネット制御メッセージプロトコル（ICMP）
1
Protocol
インターネット制御メッセージプロトコル（ICMP）
IP
Protocol
インターネットプロトコル（IP）
0
Protocol
インターネットプロトコル（IP）
TCP
Protocol
伝送制御プロトコル（TCP）
6
Protocol
伝送制御プロトコル（TCP）
UDP
Protocol
ユーザデータグラムプロトコル（UDP）
17
Protocol
ユーザデータグラムプロトコル（UDP）
any
Hostname
すべてのホストにルールを適用します。
host
Hostname
ホスト名を示す任意の英数字文字列。
log
Log
イベントが発生すると、フィルタログメッセージが表示されます。
（permit and
log または deny and log の場合と同様）。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-15
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-5
ASA がサポートするトークン（続き）
トークン
構文のフィール
ド
説明
lt
Operator
値より小さい
gt
Operator
値より大きい
eq
Operator
値と等しい
neq
Operator
値と等しくない
range
Operator
この範囲に含まれる。range の後に 2 つの値を続けます。
Active Directory/LDAP VPN リモートアクセス許可の例
この項では、Microsoft Active Directory サーバを使用している ASA で認証および許可を設定するため
の手順の例を示します。説明する項目は次のとおりです。
• 「ユーザベースの属性ポリシーの適用」（P.C-16）
• 「特定のグループポリシーへの LDAP ユーザの配置」（P.C-18）
• 「AnyConnect トンネルへのスタティック IP アドレスの割り当て」（P.C-20）
• 「ダイヤルインの許可または拒否アクセスの適用」（P.C-22）
• 「ログイン時間と Time-of-Day ルールの適用」（P.C-25）
その他の設定例については、Cisco.com にある次のテクニカルノートを参照してください。
• 『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d
.shtml
• 『PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login』
（http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a0
0808d1a7c.shtml）
ユーザベースの属性ポリシーの適用
すべての標準 LDAP 属性は、予約済みのベンダー固有属性（VSA）にマッピングできます。同様に、1
つ以上の LDAP 属性を 1 つ以上の Cisco LDAP 属性にマッピングできます。
次の例では、AD の LDAP サーバで設定されたユーザに対し、簡単なバナーを適用するように ASA を
設定します。サーバ上で [General] タブの [Office] フィールドを使用してバナーテキストを入力しま
す。このフィールドでは、physicalDeliveryOfficeName という名前の属性を使用します。ASA で、
physicalDeliveryOfficeName を Cisco 属性 Banner1 にマッピングする属性マップを作成します。認証
の間に、ASA はサーバから physicalDeliveryOfficeName の値を取得し、その値を Cisco 属性 Banner1
にマッピングしてユーザにバナーを表示します。
この例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス
SSL VPN などの接続タイプに適用されます。例では、User1 はクライアントレス SSL VPN 接続を介
して接続します。
AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-16
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
ステップ 1
ユーザを右クリックします。
[Properties] ダイアログボックスが表示されます（図 C-3 を参照）。
ステップ 2
[General] タブをクリックして、[Office] フィールドにバナーテキストを入力します。このフィールド
は、AD/LDAP 属性 physicalDeliveryOfficeName を使用します。
図 C-3
ステップ 3
LDAP User Configuration
ASA に、LDAP 属性マップを作成します。
Banner マップを作成し、AD/LDAP 属性である physicalDeliveryOfficeName を Cisco 属性である
Banner1 にマッピングする例を次に示します。
hostname(config)# ldap attribute-map Banner
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1
ステップ 4
LDAP 属性マップを AAA サーバに関連付けます。
AAA サーバグループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーションモー
ドを開始し、ステップ 3 で作成した属性マップ Banner を関連付ける例を次に示します。
hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map Banner
ステップ 5
バナーの適用をテストします。
クライアントレス SSL 接続と、ユーザ認証後に属性マップ経由で適用されたバナーを次の例に示しま
す（図 C-4 を参照）。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-17
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
図 C-4
表示されたバナー
特定のグループポリシーへの LDAP ユーザの配置
次の例では、AD の LDAP サーバの User1 を、ASA の特定のグループポリシーに対して認証します。
サーバで、[Organization] タブの [Department] フィールドを使用して、グループポリシーの名前を入
力します。次に、属性マップを作成し、[Department] を Cisco 属性である IETF-Radius-Class にマッ
ピングします。認証の間に、ASA はサーバから [Department] の値を取得し、その値を
IETF-Radius-Class にマッピングして User1 をグループポリシーに配置します。
この例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス
SSL VPN などの接続タイプに適用されます。例では、User1 はクライアントレス SSL VPN 接続を介
して接続します。
AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。
ステップ 1
ユーザを右クリックします。
[Properties] ダイアログボックスが表示されます（図 C-5 を参照）。
ステップ 2
[Organization] タブをクリックして、[Department] フィールドに Group-Policy-1 と入力します。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-18
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
図 C-5
ステップ 3
AD の LDAP の [Department] 属性
ステップ 1 に示した LDAP コンフィギュレーションの属性マップを定義します。
次に、シスコ属性 IETF-Radius-Class に AD 属性である Department をマッピングする例を示します。
hostname(config)# ldap attribute-map group_policy
hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class
ステップ 4
LDAP 属性マップを AAA サーバに関連付けます。
AAA サーバグループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーションモー
ドを開始し、ステップ 3 で作成した group_policy 属性マップを関連付ける例を次に示します。
hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map group_policy
ステップ 5
ASA で新しい group-policy を追加し、ユーザに割り当てるために必要なポリシー属性を設定します。
この例では、サーバの [Department] フィールドに入力された Group-policy-1 を作成しました。
hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo
hostname(config-aaa-server-group)#
ステップ 6
ユーザが必要とする VPN 接続を確立し、セッションが、Group-Policy1 からの属性（およびデフォル
ト group-policy からの適用可能なすべての属性）を継承していることを確認します。
ステップ 7
特権 EXEC モードから debug ldap 255 コマンドをイネーブルにすることで、ASA とサーバ間の通信
をモニタすることができます。次は、このコマンドの出力例であり、キーメッセージを提供するため
に編集されています。
[29]
[29]
[29]
[29]
Authentication successful for user1 to 10.1.1.2
Retrieving user attributes from server 10.1.1.2
Retrieved Attributes:
department: value = Group-Policy-1
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-19
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
[29] mapped to IETF-Radius-Class: value = Group-Policy-1
AnyConnect トンネルへのスタティック IP アドレスの割り当て
この例では、AnyConnect クライアントユーザ Web1 がスタティック IP アドレスを受信するように設
定します。AD の LDAP サーバで、[Dialin] タブの [Assign Static IP Address] フィールドにアドレスを
入力します。このフィールドでは、msRADIUSFramedIPAddress 属性を使用します。この属性を
Cisco 属性である IETF-Radius-Framed-IP-Address へマッピングする属性マップを作成します。
認証の間に、ASA はサーバから msRADIUSFramedIPAddress の値を取得し、その値を Cisco 属性であ
る IETF-Radius-Framed-IP-Address へマッピングして User1 にスタティックアドレスを提供します。
この例は、IPSec クライアントや SSL VPN クライアント（AnyConnect クライアント 2.x および SSL
VPN クライアント）などのフルトンネルクライアントに適用されます。
AD/LDAP サーバ上でユーザ属性を設定するには、次の手順を実行します。
ステップ 1
ユーザ名を右クリックします。
[Properties] ダイアログボックスが表示されます（図 C-6 を参照）。
ステップ 2
[Dialin] タブをクリックして [Assign Static IP Address] チェックボックスをオンにし、IP アドレス
10.1.1.2 を入力します。
図 C-6
ステップ 3
スタティック IP アドレスの割り当て
ステップ 1 に示した LDAP コンフィギュレーションの属性マップを作成します。
この例では、[Static Address] フィールドで使用された AD 属性である msRADIUSFramedIPAddress
を、Cisco 属性である IETF-Radius-Framed-IP-Address にマッピングします。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-20
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
hostname(config)# ldap attribute-map static_address
hostname(config-ldap-attribute-map)# map-name msRADIUSFramedIPAddress
IETF-Radius-Framed-IP-Address
ステップ 4
LDAP 属性マップを AAA サーバに関連付けます。
AAA サーバグループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーションモー
ドを開始し、ステップ 3 で作成した static_address 属性マップを関連付ける例を次に示します。
hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map static_address
ステップ 5
vpn-address-assigment コマンドが AAA を指定するように設定されているかどうかを、show run all
vpn-addr-assign コマンドでコンフィギュレーションのこの部分を表示して確認します。
hostname(config)# show run all vpn-addr-assign
vpn-addr-assign aaa
<< Make sure this is configured >>
no vpn-addr-assign dhcp
vpn-addr-assign local
hostname(config)#
ステップ 6
ASA と AnyConnect クライアントとの接続を確立します。次のことを確認します。
• バナーがクライアントレス接続と同じシーケンスで受信されている（図 C-7 を参照）。
• ユーザが、サーバで設定され、ASA にマッピングされた IP アドレスを受信している（図 C-8 を参
照）。
図 C-7
AnyConnect セッションのバナーの確認
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-21
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
図 C-8
ステップ 7
確立された AnyConnect セッション
show vpn-sessiondb svc コマンドを使用すると、セッションの詳細を表示して、割り当てられたアド
レスを確認できます。
hostname# show vpn-sessiondb svc
Session Type: SVC
Username
: web1
Index
: 31
Assigned IP : 10.1.1.2
Public IP
: 10.86.181.70
Protocol
: Clientless SSL-Tunnel DTLS-Tunnel
Encryption
: RC4 AES128
Hashing
: SHA1
Bytes Tx
: 304140
Bytes Rx
: 470506
Group Policy : VPN_User_Group
Tunnel Group : Group1_TunnelGroup
Login Time
: 11:13:05 UTC Tue Aug 28 2007
Duration
: 0h:01m:48s
NAC Result
: Unknown
VLAN Mapping : N/A
VLAN
: none
ダイヤルインの許可または拒否アクセスの適用
この例では、ユーザが許可するトンネリングプロトコルを指定する LDAP 属性マップを作成します。
[Dialin] タブの [Allow Access] と [Deny Access] の設定を、Cisco 属性である Tunneling-Protocol に
マッピングします。Cisco Tunneling-Protocol 属性は、表 C-6 に示されるビットマップ値をサポートし
ます。
表 C-6
Cisco Tunneling-Protocol 属性のビットマップ値
値
トンネリングプロトコル
1
PPTP
2
4
L2TP
1
IPsec（IKEv1）
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-22
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
表 C-6
値
8
2
Cisco Tunneling-Protocol 属性のビットマップ値（続き）
トンネリングプロトコル
L2TP/IPsec
16
クライアントレス SSL
32
SSL クライアント：AnyConnect または SSL VPN ク
ライアント
64
IPsec（IKEv2）
1. IPSec と L2TP over IPSec は同時にサポートされません。そのため、値 4 と
8 は相互排他値となります。
2. 注 1 を参照してください。
この属性を使用して、プロトコルの [Allow Access]（TRUE）または [Deny Access]（FALSE）の条件
を作成し、ユーザがアクセスを許可される方法を適用します。
この簡単な例では、tunnel-protocol である IPsec/IKEv1（4）をマッピングすることで、Cisco VPN ク
ライアントの許可（true）条件を作成できます。また、WebVPN（16）と SVC/AC（32）を値 48
（16+32）としてマッピングし、拒否（false）条件を作成します。これにより、ユーザは IPSec を使用
して ASA に接続できますが、クライアントレス SSL または AnyConnect クライアントを使用すると、
接続は拒否されます。
ダイヤルインの許可または拒否アクセスの適用の他の使用例については、次の URL にある『ASA/PIX:
Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』テクニカルノー
トを参照してください。
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.sht
ml
AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。
ステップ 1
ユーザを右クリックします。
[Properties] ダイアログボックスが表示されます。
ステップ 2
[Dial-in] タブをクリックし、[Allow Access] オプションボタンをクリックします（図 C-9）。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-23
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
図 C-9
（注）
ステップ 3
AD/LDAP user1 の [Allow access]
[Control access through the Remote Access Policy] オプションを選択した場合、値はサーバか
ら返されず、適用される権限は、ASA の内部グループポリシー設定に基づきます。
IPSec と AnyConnect の両方の接続を許可し、クライアントレス SSL 接続を拒否する属性マップを作
成します。
この例では tunneling_protocols マップを作成し、[Allow Access] 設定で使用される AD 属性
msNPAllowDialin を map-name コマンドを使用して Cisco 属性 Tunneling-Protocols にマッピングし、
マップ値を map-value コマンドで追加します。
hostname(config)# ldap attribute-map
hostname(config-ldap-attribute-map)#
hostname(config-ldap-attribute-map)#
hostname(config-ldap-attribute-map)#
ステップ 4
tunneling_protocols
map-name msNPAllowDialin Tunneling-Protocols
map-value msNPAllowDialin FALSE 48
map-value msNPAllowDialin TRUE 4
LDAP 属性マップを AAA サーバに関連付けます。
AAA サーバグループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーションモー
ドを開始し、ステップ 2 で作成した tunneling_protocols 属性マップを関連付ける例を次に示します。
hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols
ステップ 5
属性マップが設定したとおりに動作することを確認します。
ステップ 6
クライアントレス SSL、AnyConnect クライアント、および IPSec クライアントを使用して接続を試
みます。クライアントレス SSL と AnyConnect の接続に失敗し、ユーザには、接続の失敗原因が許可
されていない接続メカニズムにあることが通知されます。IPsec クライアントの接続は成功します。こ
れは、属性マップに従って IPsec にトンネリングプロトコルが許可されているためです（図 C-10 およ
び図 C-11 を参照）。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-24
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
図 C-10
クライアントレスユーザへのログイン拒否メッセージ
図 C-11
AnyConnect クライアントユーザへのログイン拒否メッセージ
ログイン時間と Time-of-Day ルールの適用
この例では、クライアントレス SSL ユーザ（ビジネスパートナー等）がネットワークへアクセスでき
る時間を設定して適用します。
この場合は、AD サーバの [Office] フィールドを使用してパートナーの名前を入力します。このフィー
ルドは、physicalDeliveryOfficeName 属性を使用します。次に、ASA で属性マップを作成し、その属
性を Cisco 属性である Access-Hours にマッピングします。認証の間に、ASA はサーバから
physicalDeliveryOfficeName の値を取得し、それを Access-Hours にマッピングします。
AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。
ステップ 1
ユーザを選択し、[Properties] を右クリックします。
[Properties] ダイアログボックスが表示されます（図 C-12 を参照）。
ステップ 2
[General] タブをクリックします。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-25
付録 C
許可および認証用の外部サーバの設定
外部 LDAP サーバの設定
図 C-12
ステップ 3
[Active Directory Properties] ダイアログボックス
属性マップを作成します。
この例では、access_hours 属性マップを作成し、[Office] フィールドで使用される AD 属性
physicalDeliveryOfficeName を、Cisco 属性 Access-Hours にマッピングします。
hostname(config)# ldap attribute-map access_hours
hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours
ステップ 4
LDAP 属性マップを AAA サーバに関連付けます。
AAA サーバグループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーションモー
ドを開始し、ステップ 3 で作成した access_hours 属性マップを関連付ける例を次に示します。
hostname(config)# aaa-server MS_LDAP host 10.1.1.2
hostname(config-aaa-server-host)# ldap-attribute-map access_hours
ステップ 5
各値にサーバで許可された時間範囲を設定します。
次の例では、Partner のアクセス時間が月曜日から金曜日の午前 9 時から午後 5 時に設定されています。
hostname(config)# time-range Partner
hostname(config-time-range)# periodic weekdays 09:00 to 17:00
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-26
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
外部 RADIUS サーバの設定
この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS 属性を定義します。説明する項目は
次のとおりです。
• 「RADIUS 設定手順の確認」（P.C-27）
• 「ASARADIUS Authorization 属性」（P.C-27）
• 「ASA IETF RADIUS Authorization 属性」（P.C-37）
• 「RADIUS アカウンティング切断の理由コード」（P.C-38）
RADIUS 設定手順の確認
この項では、ASA のユーザ認証および許可をサポートするために必要な RADIUS 設定手順について説
明します。
RADIUS サーバを ASA と相互運用するように設定するには、次の手順を実行します。
ステップ 1
ASA の属性を RADIUS サーバにロードします。属性をロードするために使用する方法は、使用する
RADIUS サーバのタイプによって異なります。
• Cisco ACS を使用している場合：サーバには、これらの属性がすでに統合されています。したがっ
て、この手順をスキップできます。
• FUNK RADIUS サーバを使用している場合：シスコは、ASA の属性がすべて含まれるディクショ
ナリファイルを提供しています。このディクショナリファイル cisco3k.dct は、Cisco.com の
Cisco Download Software Center または ASA の CD-ROM から入手してください。ディクショナ
リファイルをサーバにロードします。
：ASA の各属性
• 他のベンダーの RADIUS サーバ（Microsoft Internet Authentication Service など）
を手動で定義する必要があります。属性を定義するには、属性名または番号、タイプ、値、ベン
ダーコード（3076）を使用します。ASA の RADIUS 許可属性および値のリストについては、
表 C-7 を参照してください。
ステップ 2
権限および属性を持つユーザまたはグループをセットアップし、IPSec または SSL トンネルの確立時
に送信します。
ASARADIUS Authorization 属性
許可では、権限または属性を使用するプロセスを参照します。認証サーバとして定義されている
RADIUS サーバは、権限または属性が設定されている場合はこれらを使用します。これらの属性のベ
ンダー ID は 3076 です。
表 C-7 に、ユーザ許可に使用でき、ASA がサポートしている使用可能な RADIUS 属性の一覧を示し
ます。
（注）
RADIUS 属性名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、こ
の新しい名前をサポートしますが、4.0 以前の ACS の属性名にはまだ cVPN3000 プレフィックスが含
まれています。ASA アプライアンスは、属性名ではなく数値の属性 ID に基づいて、RADIUS 属性を
使用します。LDAP 属性は、ID ではなく属性名で使用します。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-27
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7 に示された属性は、属性番号 146、150、151 および 152 を除いて、RADIUS サーバから ASA
に送信された送信されるダウンストリーム属性です。これらの属性番号は、ASA から RADIUS サー
バに送信されるアップストリームの属性です。RADIUS 属性 146 および 150 は、認証および許可の要
求の場合に ASA から RADIUS サーバに送信されます。前述の 4 つの属性はすべて、アカウンティン
グ開始、中間アップデート、および終了の要求の場合にから RADIUS サーバに送信されます。ASA
アップストリーム RADIUS 属性 146、150、151、および 152 はバージョン 8.4.3 で導入されました。
ASA
Cisco ACS 5x および Cisco ISE は、ASA バージョン 9.0 の RADIUS 認証を使用する IP アドレスの割
り当ての IPv6 Framed IP アドレスはサポートされません。
表 C-7
ASA でサポートされる RADIUS 属性と値
属性名
VPN
3000 ASA PIX
No.
シング
ルまた
構文 / タはマル
イプ
チ値
Access-Hours
Y
Y
Y
1
String
シング時間範囲の名前
ル
（Business-hours など）
Simultaneous-Logins
Y
Y
Y
2
Integer
シング
ル
0 ～ 2147483647
Primary-DNS
Y
Y
Y
5
String
シング
ル
IP アドレス
Secondary-DNS
Y
Y
Y
6
String
シング
ル
IP アドレス
Primary-WINS
Y
Y
Y
7
String
シング
ル
IP アドレス
Secondary-WINS
Y
Y
Y
8
String
シング
ル
IP アドレス
9
Integer
シング
ル
未使用
11
Integer
シング
ル
1 = PPTP
2 = L2TP
4 = IPSec（IKEv1）
8 = L2TP/IPSec
16 = WebVPN.
32 = SVC
64 = IPsec（IKEv2）
8 および 4 は相互排他値
（0 ～ 11、16 ～ 27、32 ～ 43、
48 ～ 59 は有効値）。
12
String
シング
ル
セキュリティアソシエーショ
ンの名前
SEP-Card-Assignment
Tunneling-Protocols
Y
IPsec-Sec-Association
Y
Y
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-28
Y
属性
説明または値
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7
ASA でサポートされる RADIUS 属性と値（続き）
属性名
VPN
3000 ASA PIX
No.
シング
ルまた
構文 / タはマル
イプ
チ値
IPsec-Authentication
Y
13
Integer
シング
ル
0 = なし
1 = RADIUS
2 = LDAP（許可のみ）
3 = NT ドメイン
4 = SDI
5 = 内部
6 = RADIUS での Expiry
7 = Kerberos/Active Directory
Banner1
Y
15
String
シング
ル
Cisco VPN リモートアクセス
セッション（IPsec IKEv1、
AnyConnect
SSL-TLS/DTLS/IKEv2、およ
びクライアントレス SSL）の場
Y
Y
属性
説明または値
合に表示されるバナー文字列
IPsec-Allow-Passwd-Store
Y
Y
Y
16
Boolean シング
ル
Use-Client-Address
Y
17
Boolean シング
ル
PPTP-Encryption
Y
20
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
0 = ディセーブル
1 = イネーブル
ビットマップ：
1 = 暗号化が必要
2 =40 ビット
4 =128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化 / ス
テートレスが必要
L2TP-Encryption
Y
21
Integer
シング
ル
ビットマップ：
1 = 暗号化が必要
2 =40 ビット
4 =128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化 / ス
テートレスが必要
Group-Policy
Y
Y
25
String
シング
ル
リモートアクセス VPN セッ
ションのグループポリシーを
設定します。バージョン 8.2 以
降では、IETF-Radius-Class の
代わりにこの属性を使用しま
す。次の 3 つの形式のいずれか
を使用できます。
• グループポリシー名
• OU= グループポリシー名
• OU= グループポリシー名 ;
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-29
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7
ASA でサポートされる RADIUS 属性と値（続き）
属性名
VPN
3000 ASA PIX
No.
シング
ルまた
構文 / タはマル
イプ
チ値
IPsec-Split-Tunnel-List
Y
Y
Y
27
String
シング
ル
スプリットトンネルの包含リ
ストを記述したネットワークま
たはアクセスリストの名前を
指定します。
IPsec-Default-Domain
Y
Y
Y
28
String
シング
ル
クライアントに送信する 1 つの
デフォルトドメイン名を指定
します（1 ～ 255 文字）。
IPsec-Split-DNS-Names
Y
Y
Y
29
String
シング
ル
クライアントに送信するセカン
ダリドメイン名のリストを指
定します（1 ～ 255 文字）。
IPsec-Tunnel-Type
Y
Y
Y
30
Integer
シング
ル
1 = LAN-to-LAN
2 = リモートアクセス
IPsec-Mode-Config
Y
Y
Y
31
Boolean シング
属性
ル
IPsec-User-Group-Lock
Y
33
Boolean シング
ル
IPsec-Over-UDP
Y
Y
Y
34
Boolean シング
説明または値
0 = ディセーブル
1 = イネーブル
0 = ディセーブル
1 = イネーブル
ル
0 = ディセーブル
1 = イネーブル
IPsec-Over-UDP-Port
Y
Y
Y
35
Integer
シング
ル
4001 ～ 49151。デフォルトは
10000 です。
Banner2
Y
Y
Y
36
String
シング
ル
Cisco VPN リモートアクセス
セッション（IPsec IKEv1、
AnyConnect
SSL-TLS/DTLS/IKEv2、およ
びクライアントレス SSL）の場
合に表示されるバナー文字列。
Banner2 文字列は、Banner1 文
字列に連結されます（設定され
ている場合）。
PPTP-MPPC-Compression
Y
37
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
L2TP-MPPC-Compression
Y
38
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
IPsec-IP-Compression
Y
Y
Y
39
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
IPsec-IKE-Peer-ID-Check
Y
Y
Y
40
Integer
シング
ル
1 = 必須
2 = ピア証明書でサポートされ
る場合
3 = チェックしない
IKE-Keep-Alives
Y
Y
Y
41
Boolean シング
ル
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-30
0 = ディセーブル
1 = イネーブル
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7
ASA でサポートされる RADIUS 属性と値（続き）
属性名
VPN
3000 ASA PIX
No.
シング
ルまた
構文 / タはマル
イプ
チ値
IPsec-Auth-On-Rekey
Y
42
Boolean シング
Y
Y
属性
ル
Required-Client- Firewall-Vendor-Code
Y
Y
Y
45
Integer
シング
ル
説明または値
0 = ディセーブル
1 = イネーブル
1 = シスコ（Cisco Integrated
Client を使用）
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = シスコ（Cisco Intrusion
Prevention Security Agent を使
用）
Required-Client-Firewall-Product-Code
Y
Y
Y
46
Integer
シング
ル
シスコ製品：
1 = Cisco Intrusion Prevention
Security Agent または Cisco
Integrated Client（CIC）
Zone Labs 製品：
1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity
NetworkICE 製品：
1 = BlackIce Defender/Agent
Sygate 製品：
1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent
Required-Client-Firewall-Description
Y
Y
Y
47
String
Require-HW-Client-Auth
Y
Y
Y
48
Boolean シング
シング
ル
String
ル
0 = ディセーブル
1 = イネーブル
Required-Individual-User-Auth
Y
Y
Y
49
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
Authenticated-User-Idle-Timeout
Y
Y
Y
50
Integer
シング
ル
1 ～ 35791394 分
Cisco-IP-Phone-Bypass
Y
Y
Y
51
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
IPsec-Split-Tunneling-Policy
Y
Y
Y
55
Integer
シング
ル
し
0 = スプリットトンネリングな
1 = スプリットトンネリング
2 = ローカル LAN を許可
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-31
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7
ASA でサポートされる RADIUS 属性と値（続き）
属性名
VPN
3000 ASA PIX
No.
シング
ルまた
構文 / タはマル
イプ
チ値
IPsec-Required-Client-Firewall-Capability
Y
56
Integer
Y
Y
属性
シング
ル
説明または値
0 = なし
1 = リモート FW
Are-You-There（AYT）で定義
されているポリシー
2 = Policy pushed CPP
4 = サーバからのポリシー
IPsec-Client-Firewall-Filter-Name
Y
IPsec-Client-Firewall-Filter-Optional
Y
Y
IPsec-Backup-Servers
Y
Y
57
String
シング
ル
クライアントにファイアウォー
ルポリシーとして配信する
フィルタの名前を指定します。
Y
58
Integer
シング
ル
0 = 必須
1 = オプション
Y
59
String
シング
ル
1 = クライアントが設定したリ
ストを使用する
2 = クライアントリストをディ
セーブルにして消去する
3 = バックアップサーバリスト
を使用する
IPsec-Backup-Server-List
Y
Y
Y
60
String
シング
ル
サーバアドレス（スペース区
切り）
DHCP-Network-Scope
Y
Y
Y
61
String
シング
ル
IP アドレス
Intercept-DHCP-Configure-Msg
Y
Y
Y
62
Boolean シング
ル
MS-Client-Subnet-Mask
Y
Y
Y
63
Boolean シング
0 = ディセーブル
1 = イネーブル
IP アドレス
ル
Allow-Network-Extension-Mode
Y
Y
Y
64
Boolean シング
ル
Authorization-Type
Y
Y
Authorization-Required
Y
Authorization-DN-Field
Y
Y
IKE-KeepAlive-Confidence-Interval
Y
Y
WebVPN-Content-Filter-Parameters
Y
Y
Y
0 = ディセーブル
1 = イネーブル
65
Integer
シング
ル
0 = なし
1 = RADIUS
2 = LDAP
66
Integer
シング
ル
0 = しない
1 = する
Y
67
String
シング
ル
有効な値：UID、OU、O、
CN、L、SP、C、EA、T、N、
GN、SN、I、GENQ、DNQ、
SER、use-entire-name
Y
68
Integer
シング
ル
10 ～ 300 秒
69
Integer
シング
ル
1 = Java ActiveX
2 = Java スクリプト
4 = イメージ
8 = イメージに含まれるクッ
キー
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-32
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7
ASA でサポートされる RADIUS 属性と値（続き）
属性名
VPN
3000 ASA PIX
No.
シング
ルまた
構文 / タはマル
イプ
チ値
説明または値
属性
WebVPN-URL-List
Y
71
String
シング
ル
URL リスト名
WebVPN-Port-Forward-List
Y
72
String
シング
ル
ポート転送リスト名
WebVPN-Access-List
Y
73
String
シング
ル
アクセスリスト名
75
Integer
シング
ル
76
String
77
String
Cisco-LEAP-Bypass
Y
Y
WebVPN-Homepage
Y
Y
Client-Type-Version-Limiting
Y
Y
Y
0 = ディセーブル
1 = イネーブル
シング URL
ル
（http://example-example.com
など）
WebVPN-Port-Forwarding-Name
Y
Y
Y
79
String
シング
ル
IPsec VPN のバージョン番号を
示す文字列
シング名前の文字列
ル
（「Corporate-Apps」など）。
このテキストでクライアントレ
スポータルホームページのデ
フォルト文字列「Application
Access」が置き換えられます。
IE-Proxy-Server
Y
80
String
シング
ル
IP アドレス
IE-Proxy-Server-Policy
Y
81
Integer
シング
ル
1 = 変更なし
2 = プロキシなし
3 = 自動検出
4 = コンセントレータ設定を使
IE-Proxy-Exception-List
Y
82
String
シング
ル
改行（\n）区切りの DNS ドメ
インのリスト
IE-Proxy-Bypass-Local
Y
83
Integer
シング
ル
0 = なし
1 = ローカル
IKE-Keepalive-Retry-Interval
Y
用する
Y
Y
84
Integer
シング
ル
2 ～ 10 秒
Tunnel-Group-Lock
Y
Y
85
String
シング
ル
トンネルグループの名前また
は「none」
Access-List-Inbound
Y
Y
86
String
シング
ル
アクセスリスト ID
Access-List-Outbound
Y
Y
87
String
シング
ル
アクセスリスト ID
Y
Y
88
Boolean シング
Perfect-Forward-Secrecy-Enable
Y
ル
0 = しない
1 = する
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-33
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7
ASA でサポートされる RADIUS 属性と値（続き）
属性名
VPN
3000 ASA PIX
No.
シング
ルまた
構文 / タはマル
イプ
チ値
NAC-Enable
Y
89
Integer
シング
ル
0 = しない
1 = する
NAC-Status-Query-Timer
Y
90
Integer
シング
ル
30 ～ 1800 秒
NAC-Revalidation-Timer
Y
91
Integer
シング
ル
300 ～ 86400 秒
NAC-Default-ACL
Y
92
String
WebVPN-URL-Entry-Enable
Y
Y
93
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-File-Access-Enable
Y
Y
94
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-File-Server-Entry-Enable
Y
Y
95
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-File-Server-Browsing-Enable
Y
Y
96
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-Port-Forwarding-Enable
Y
Y
97
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-Outlook-Exchange-Proxy-Enable
Y
Y
98
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-Port-Forwarding-HTTP-Proxy
Y
Y
99
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-Auto-Applet-Download-Enable
Y
Y
100
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-Citrix-Metaframe-Enable
Y
Y
101
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-Apply-ACL
Y
Y
102
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-SSL-VPN-Client-Enable
Y
Y
103
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-SSL-VPN-Client-Required
Y
Y
104
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
WebVPN-SSL-VPN-Client-KeepInstallation
Y
Y
105
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
SVC-Keepalive
Y
Y
107
Integer
シング
ル
0 = オフ
15 ～ 600 秒
SVC-DPD-Interval-Client
Y
Y
108
Integer
シング
ル
0 = オフ
5 ～ 3600 秒
SVC-DPD-Interval-Gateway
Y
Y
109
Integer
シング
ル
0 = オフ
5 ～ 3600 秒
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-34
属性
説明または値
アクセスリスト
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7
ASA でサポートされる RADIUS 属性と値（続き）
属性名
VPN
3000 ASA PIX
No.
シング
ルまた
構文 / タはマル
イプ
チ値
属性
説明または値
SVC-Rekey-Time
Y
110
Integer
シング
ル
0 = ディセーブル
1 ～ 10080 分
WebVPN-Deny-Message
Y
116
String
シング
ル
有効な文字列（500 文字以内）
Extended-Authentication-On-Rekey
Y
122
Integer
シング
ル
SVC-DTLS
Y
123
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
0 = False
1 = True
SVC-MTU
Y
125
Integer
シング
ル
MTU 値
256 ～ 1406 バイト
SVC-Modules
Y
127
String
シング
ル
文字列（モジュールの名前）
SVC-Profiles
Y
128
String
シング
ル
文字列（プロファイルの名前）
SVC-Ask
Y
131
String
シング
ル
0 = ディセーブル
1 = イネーブル
3 = デフォルトサービスをイ
Y
ネーブルにする
5 = デフォルトクライアントレ
スをイネーブルにする
（2 と 4 は使用しない）
SVC-Ask-Timeout
Y
132
Integer
シング
ル
5 ～ 120 秒
IE-Proxy-PAC-URL
Y
133
String
シング
ル
PAC アドレス文字列
135
Boolean シング
Strip-Realm
Y
Y
Y
ル
0 = ディセーブル
1 = イネーブル
Smart-Tunnel
Y
136
String
シング
ル
スマートトンネルの名前
WebVPN-ActiveX-Relay
Y
137
Integer
シング
ル
0 = ディセーブル
Otherwise = イネーブル
Smart-Tunnel-Auto
Y
138
Integer
シング
ル
0 = ディセーブル
1 = イネーブル
2 = 自動スタート
Smart-Tunnel-Auto-Signon-Enable
Y
139
String
シング
ル
ドメイン名が付加された Smart
Tunnel Auto Signon リストの名
前
VLAN
Y
140
Integer
シング
ル
0 ～ 4094
NAC-Settings
Y
141
String
シング
ル
NAC ポリシーの名前
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-35
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7
ASA でサポートされる RADIUS 属性と値（続き）
VPN
3000 ASA PIX
属性名
Member-Of
Y
Y
No.
シング
ルまた
構文 / タはマル
イプ
チ値
説明または値
145
String
カンマ区切りの文字列。例：
属性
シング
ル
Engineering, Sales
ダイナミックアクセスポリ
シーで使用できる管理属性。グ
ループポリシーは設定されま
せん。
Tunnel Group Name
Y
Y
146
String
シング
ル
1 ～ 253 文字
Client Type
Y
Y
150
Integer
シング
ル
1 = Cisco VPN Client（IKEv1）
2 = AnyConnect Client SSL
VPN
3 = クライアントレス SSL VPN
4 = Cut-Through-Proxy
5 = L2TP/IPsec SSL VPN
6 = AnyConnect Client IPSec
VPN（IKEv2）
Session Type
Y
Y
151
Integer
シング
ル
0 = なし
1 = AnyConnect Client SSL
VPN
2 = AnyConnect Client IPSec
VPN（IKEv2）
3 = クライアントレス SSL VPN
4 = クライアントレス電子メー
ルプロキシ
5 = Cisco VPN Client（IKEv1）
6 = IKEv1 LAN-LAN
7 = IKEv2 LAN-LAN
8 = VPN ロードバランシング
Session Subtype
Y
Y
152
Integer
シング
ル
0 = なし
1 = クライアントレス
2 = クライアント
3 = クライアントのみ
サブセッションタイプは、
セッションタイプ（151）属性
が 1、2、3、4 のいずれかであ
る場合にだけ適用されます。
Address-Pools
Y
IPv6-Address-Pools
IPv6-VPN-Filter
217
String
シング
ル
IP ローカルプールの名前
Y
218
String
シング
ル
IP ローカルプール IPv6 の名前
Y
219
String
シング
ル
ACL 値
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-36
Y
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-7
ASA でサポートされる RADIUS 属性と値（続き）
VPN
3000 ASA PIX
属性名
Privilege-Level
Y
WebVPN-Macro-Value1
Y
Y
No.
シング
ルまた
構文 / タはマル
イプ
チ値
説明または値
220
Integer
シング
ル
0 ～ 15 の整数。
223
String
シング
ル
属性
無制限。例については、次の
URL にある『SSL VPN
Deployment Guide』を参照し
てください。
http://supportwiki.cisco.com/Vi
ewWiki/index.php/Cisco_ASA
_5500_SSL_VPN_Deployment
_Guide%2C_Version_8.x
WebVPN-Macro-Value2
Y
224
String
シング
ル
無制限。例については、次の
URL にある『SSL VPN
Deployment Guide』を参照し
てください。
http://supportwiki.cisco.com/Vi
ewWiki/index.php/Cisco_ASA
_5500_SSL_VPN_Deployment
_Guide%2C_Version_8.x
ASA IETF RADIUS Authorization 属性
表 C-8 に、サポートされている IETF RADIUS 属性を示します。
表 C-8
ASA でサポートされる RADIUS 属性と値
属性名
VPN
3000
ASA PIX
No.
IETF-Radius-Class
Y
Y
25
属性
Y
シングル
構文 / タまたはマ
イプ
ルチ値
説明または値
シングルバージョン 8.2.x 以降では、表 C-7 に
記載された Group-Policy 属性（VSA
3076, #25）の使用をお勧めします。
• グループポリシー名
• OU= グループポリシー名
• OU= グループポリシー名
IETF-Radius-Filter-Id
Y
Y
Y
11
String
シングルフルトンネルの IPsec クライアント
と SSL VPN クライアントのみに適用
される、ASA で定義されたアクセス
リスト名
IETF-Radius-Framed-IP-Address
Y
Y
Y
n/a
String
シングル IP アドレス
IETF-Radius-Framed-IP-Netmask
Y
Y
Y
n/a
String
シングル IP アドレスマスク
IETF-Radius-Idle-Timeout
Y
Y
Y
28
Integer
シングル秒
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-37
付録 C
許可および認証用の外部サーバの設定
外部 RADIUS サーバの設定
表 C-8
ASA でサポートされる RADIUS 属性と値（続き）
IETF-Radius-Service-Type
Y
Y
Y
6
Integer
シングル秒。使用可能なサービスタイプの
値：
.Administrative：ユーザは configure
プロンプトへのアクセスを許可され
ています。
.NAS-Prompt：ユーザは exec プロン
プトへのアクセスを許可されていま
す。
.remote-access：ユーザはネットワー
クアクセスを許可されています。
IETF-Radius-Session-Timeout
Y
Y
Y
27
Integer
シングル秒
RADIUS アカウンティング切断の理由コード
これらのコードは、パケットを送信するときに ASA が切断された場合に返されます。
切断の理由コード
ACCT_DISC_USER_REQ = 1
ACCT_DISC_LOST_CARRIER = 2
ACCT_DISC_LOST_SERVICE = 3
ACCT_DISC_IDLE_TIMEOUT = 4
ACCT_DISC_SESS_TIMEOUT = 5
ACCT_DISC_ADMIN_RESET = 6
ACCT_DISC_ADMIN_REBOOT = 7
ACCT_DISC_PORT_ERROR = 8
ACCT_DISC_NAS_ERROR = 9
ACCT_DISC_NAS_REQUEST = 10
ACCT_DISC_NAS_REBOOT = 11
ACCT_DISC_PORT_UNNEEDED = 12
ACCT_DISC_PORT_PREEMPTED = 13
ACCT_DISC_PORT_SUSPENDED = 14
ACCT_DISC_SERV_UNAVAIL = 15
ACCT_DISC_CALLBACK = 16
ACCT_DISC_USER_ERROR = 17
ACCT_DISC_HOST_REQUEST = 18
ACCT_DISC_ADMIN_SHUTDOWN = 19
ACCT_DISC_SA_EXPIRED = 21
ACCT_DISC_MAX_REASONS = 22
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-38
付録 C
許可および認証用の外部サーバの設定
外部 TACACS+ サーバの設定
外部 TACACS+ サーバの設定
ASA は、TACACS+ 属性をサポートします。TACACS+ は、認証、許可、アカウンティングの機能を
分離します。プロトコルでは、必須とオプションの 2 種類の属性をサポートします。サーバとクライア
ントの両方で必須属性を解釈できる必要があり、また、必須属性はユーザに適用する必要があります。
オプションの属性は、解釈または使用できることも、できないこともあります。
（注）
TACACS+ 属性を使用するには、NAS で AAA サービスをイネーブルにしておいてください。
表 C-9 に、カットスループロキシ接続に対してサポートされている TACACS+ 許可応答属性の一覧を
示します。表 C-10 に、サポートされている TACACS+ アカウンティング属性の一覧を示します。
表 C-9
属性
.
サポートされる TACACS+ 許可応答属性
説明
acl
接続に適用する、ローカルで設定済みのアクセスリストを識別します。
idletime
認証済みユーザセッションが終了する前に許可される非アクティブ時間（分）
を示します。
timeout
認証済みユーザセッションが終了する前に認証クレデンシャルがアクティブな
状態でいる絶対時間（分）を指定します。
表 C-10
サポートされる TACACS+ アカウンティング属性
属性
説明
bytes_in
この接続中に転送される入力バイト数を指定します（ストップレコードのみ）。
bytes_out
この接続中に転送される出力バイト数を指定します（ストップレコードのみ）。
cmd
実行するコマンドを定義します（コマンドアカウンティングのみ）。
disc-cause
切断理由を特定する数字コードを示します（ストップレコードのみ）。
elapsed_time
接続の経過時間（秒）を定義します（ストップレコードのみ）。
foreign_ip
トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ
インターフェイスでカットスループロキシ接続のアドレスを定義します。
local_ip
トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリ
ティインターフェイスでカットスループロキシ接続のアドレスを定義します。
NAS port
接続のセッション ID が含まれます。
packs_in
この接続中に転送される入力パケット数を指定します。
packs_out
この接続中に転送される出力パケット数を指定します。
priv-level
コマンドアカウンティング要求に対するユーザの権限レベル、または 1 に設定さ
れます。
rem_iddr
クライアントの IP アドレスを示します。
service
使用するサービスを指定します。コマンドアカウンティングだけは、常に「シェ
ル」に設定されます。
task_id
アカウンティングトランザクションに固有のタスク ID を指定します。
username
ユーザの名前を示します。
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-39
付録 C
外部 TACACS+ サーバの設定
Cisco ASA シリーズ CLI コンフィギュレーションガイド
C-40
許可および認証用の外部サーバの設定

Download Report

この章

Paperzz.com

Your Paperzz